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La presente invention concerne un procede de pro- 
tection d'un algorithme cryptographique . 

ARRIERE PLAN DE L' INVENTION 
' On sait que la facon la plus efficace de conser- 
ver la confidentiality lors d'une transmission de donnees 
est de chiffrer les donnees au moyen d'un algorithme 

cryptographique . 

A cet effet on connait des dispositifs comportant 
une unite de traitement programmable associes a un fi- 
chier de configuration comportant un algorithme crypto- 
graphique personnalise. L' entice realisant 1' algorithme 
cryptographique personnalise est generalement differente 
de l'entite realisant le dispositif utilisant 1' algo- 
rithme cryptographique. Afin de proteger 1' algorithme 
15 cryptographique pendant le transport depuis son lieu 
d' elaboration jusqu'a son chargement dans le dispositif 
auquel il est destine^ on procede habituellement a un 
chiffrement de 1' algorithme lui-meme en utilisant une cle ^ 
de protection. Sous cette forme chiffree, 1' algorithme p 
20 cryptographique ne pent §tre execute par le dispositif 
auquel il est destine. Lors du chargement de 1' algorithme 
cryptographique dans le dispositif auquel il est destine, 
un dechiffrement est done effectue dans 1 'unite de trai- 
tement en utilisant la cle de protection qui y a ete com- 
25 muniquee par le fabricant du dispositif et introduite par 
celui-ci dans 1' unite de traitement. Le fabricant du dis- 
positif ayant acces a la cle de protection, il est pos- 
sible pour un fraudeur qui reussirait a obtenir d'une 
part 1- algorithme cryptographique chiffre et d' autre part 
30 la cle detenue par le fabricant du dispositif, d'effec- 
tuer un dechiffrement de 1 • algorithme cryptographique lui 
permettant de reconstituer cet algorithme. En outre, 
apres son dechiffrement 1 ' algorithme n'est plus protege 
de sorte qu'il est absolument necessaire de disposer de 
35 moyens de security particuliers pour proteger 1' unite de 
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traitement pendant l f execution de 1 1 algorithme . 

OB JET DE I/ INVENTION 

Un but de 1 1 invention est de proposer un procede 
de protection d ! un algorithme cryptographique y compris 
lors de son execution dans une unite de traitement sans 
qu'il soit necessaire de faire intervenir le fabricant de 
l 1 unite de traitement. 

BREVE DESCRIPTION DE L' INVENTION 

En vue de la realisation de ce but,* on propose, 
selon l 1 invention, un procede de protection d'un algo- 
rithme cryptographique decomposable sous forme de polyno- 
mes initiaux a au moins deux variables et ayant un degre 
au moins egal k deux, le procede comportant les etapes de 
realiser des polynomes combines, chacun obtenu a partir 
d f au moins deux polyndmes initiaux, et de mettre en ceuvre 
les polynomes combines dans 1 'unite de traitement. 

Ainsi, la combinaison d ! au moins deux polynomes 
initiaux ayant un degre au moins egal a deux, realise un 
polynome ayant un degre au moins egal a quatre dont il 
est extremement difficile de retrouver les constituants 
en particulier lorsque le nombre de variables de ces po- 
lynomes est suffisamment important. L 1 algorithme ainsi 
transformed est done protege et peut done etre transmis 
avec un degre de securite satisf aisant . Par ailleurs, les 
polynomes combines sont directement executables au meme 
titre que les polynomes initiaux. Aucune transformation 
n'est necessaire lors de la configuration de I 1 unite de 
traitement de sorte que l f algorithme reste protege pen- 
dant son execution. 

Selon une version avantageuse de 1' invention, un 
effacement partiel de 1' unite de traitement, et de la me- 
moire contenant le fichier de configuration lorsque la 
configuration est pr<§sente, est provoque dans le cas 
d'une intrusion dans le dispositif. Des 1 1 instant ou 
quelques informations sont manquantes la difficulte de 
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reconstitution de 1' algorithme est considerablement aug- 
mentee de sorte qu'un effacement partiel seulement suffit 
a proteger 1 1 algorithme . 

Selon un autre aspect avantageux de 1 ■ invention, 
5 le procede comporte en outre 1 ' etape de combiner chaque 
polyndme combine avec une fonction, et de combiner le po- 
lyn6me combine suivant avec une fonction inverse. Cette 
transformation complementaire augmente encore la diffi- 
culte de retrouver les polynomes initiaux sans toutefois 
10 nuire au caractere executable du polynome combine en rai- 
son de 1 ' elimination d'une fonction directe par la fonc- 
tion inverse correspondante lors du passage d'un polynome 
combing au polyn6me combine suivant. 

De preference, la fonction combinee a chaque po- 
15 lyndme combine est une fonction lineaire. Le degre du .po- 
lyndme combine reste alors inchange, de sorte que l'es- 
pace pris en memoire par le polyn6me combine reste . lui- 

meme inchange . 

DESCRIPTION DETAILLEE DE L' INVENTION 4 
20 D'autres caracteristiques et avantages de 1 '-an- 

vention apparaitront a la lecture de la description -qui 
suit d'un mode de mise en ceuvre particulier non limit at if 
de 1' invention en relation avec la figure unique ci- 
jointe qui est un diagramme schematique illustrant le 

25 procede selon 1 ' invention . 

En reference a la figure, le procede de protec- 
tion d'un algorithme cryptographique selon 1 1 invention 
est destine & §tre mis en oeuvre dans un dispositif de 
chiffrement 1 comportant de facon connue en soi un bo£- 

30 tier 2 dans lequel est disposee une memoire volatile 3 
destinee a contenir un fichier de configuration et reliee 
a une unite de traitement 4 configurable par le fichier 
de configuration pour effectuer un chiffrement de donnees 

introduites dans le dispositif. 
35 Egalement de facon connue en soi, le dispositif 1 



i er depot 



4 



comporte tin organe d 1 ef f acement 5 relie a la mSmoire 3 et 
i. Ignite de traitement 4, pour assurer en cas d 1 intru- 
sion un effacement au moins partiel des informations 
qu'elles contiennent. A cet effet la memoire et I 1 unite 
de traitement 4 sont de preference volatiles de sorte 
qu'une interruption meme breve de 1 1 alimentation provoque 
un effacement partiel des informations contenues dans la 
memoire et/ou l 1 unite de traitement. 

Selon 1 1 invent ion , 1 1 algorithme crypt ographique 6 
qui est destine a etre introduit dans le fichier de con- 
figuration 3 est tout d'abord divise selon un procede 
connu en soi, selon des rondes representees par des poly- 
nomes initiaux Pi, P 2/ P3, P4— , Pir Pi+i—/ P r -i/ P r/ a plu- 
sieurs variables et ayant un degre au moins egal S deux. 
Les polynomes initiaux sont determines en utilisant dif- 
ferentes cles (sauf repetition au hasard) , ou dif ferentes 
sous-cles d 1 une meme cle. Les cles ou les sous-cles peu- 
vent etre totalement integrees aux polynomes ou consti- 
tuer des variables supplement aires au sein des polynomes. 
Les polynomes initiaux Pi sont ensuite combines, deux par 
deux dans le mode de mise en ceuvre illustre, selon une 
combinaison mathematique de fonctions, pour obtenir des 
polynomes combines Q x = P 2 o Pi, Q 2 = P 4 o P 3 ... Qk = Pi+i o 
Pi—/ Qr/2 = Pr o P r -i. Lorsque les polynomes Pi ont un degre 
egal a deux, les polynomes combines Qk ainsi obtenus ont 
un degre egal a quatre . 

Dans le mode de mise en oeuvre pre fere illustre, 
chaque polynome Qk est en outre combine avec une fonction 
fk, de preference une fonction lineaire, et le polynome 
combine suivant est combine de fagon correspondante avec 
la fonction inverse fk" 1 , a 1 ! exception bien entendu du 
premier et du dernier polynomes combines qui ne sont com- 
bines qu'avec une fonction directe pour l f un et une fonc- 
tion inverse pour 1 1 autre . 

Avant son chargement dans la memoire 3 sous forme 
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d'un fichier de configuration, 1 'algorithme cryptographi- 
que est done represents par les fonctions polynomiales f x 
o Qi, f 2 o Q 2 o fi" 1 ..., fk o Q k o fk-i" 1 / fk+i o Qjc+i o f k 

Qr/2 O fr/2-X • 

5 Bien entendu, 1 ' invention n'est pas limitee au 

mode de mise en ceuvre deer it et on peut y apporter des 
variantes de realisation sans sortir du cadre de 1 ' inven- 
tion tel que defini par les revendications . 

En particulier, bien que les rondes initiales 
10 aient ete representees sous forme d'un seul polyndme ini- 
tial par ronde, chaque ronde peut contenir plusieurs po- 
lyn6mes initiaux. Les polyn6mes initiaux peuvent done 
etre combines au sein d'une meme ronde ou en combinant 

plusieurs rondes entre elles. 

15 . Bien que le procSde ait ete decrit en relation 

avec un dispositif comprenant une unite de traitement 4 
associee a une memoire 3 destinee a recevoir 1 » algorithme 
sous forme d-un fichier de configuration, ce qui permet 
d'effectuer une modification de la configuration sans 

2 0 avoir a effectuer un retour du dispositif en atelier^ on 
peut prevoir une mise en oeuvre directe de 1 ' algorithme 
dans 1' unite de traitement par une configuration de 
1' unite de traitement en atelier. Dans ce cas la configu- 
ration ne peut plus etre modifiee sans un retour en ate- 
25 lier. 

Bien que le procSde selon 1 ' invent ion ait ete de- 
crit en combinant les polyn6mes initiaux deux a deux, il 
peut §tre necessaire pour certains algorithmes de regrou- 
per les polynomes elementaires selon un nombre superieur 
30 a deux. Par exemple pour 1 > algorithme denommS DES dans 
lequel les rondes sont entrelacees, il est necessaire de 
combiner plus de deux polyn6mes initiaux pour obtenir des 
polyn6mes combines executables de fagon sure selon le 

procede decrit ci-dessus. 
35 Bien que 1 - invention ait 6t6 decrite avec une 
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etape comprenarit une combinaison avec une fonction et la 
fonction inverse, on peut prevoir de constituer le fi- 
chier de configuration simplement a partir des polynomes 
combines Q k . 

Au lieu d'effectuer la combinaison des differents 
polynomes combines Q k avec des fonctions f k differentes 
pour chacun des polyn6mes combines Q k comme decrit ci- 
dessus, on peut combiner chaque polynome combine avec la 
meme fonction f puis avec la fonction inverse' f~ x . 
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1. Proc<§de de protection d'un algorithme crypto- 
graphique (6) en vue de son execution dans un dispositif 
(1) comprenant une unite de traitement programmable (4) , 
1 1 algorithme etant decomposable sous forme de polyn6mes 
initiaux (Pi) a au mo ins deux variables et ayant un degre 
au moins egal a deux, caracterise en ce que le procede 
comporte les etapes de realiser des polyndmes combines 
(Q k ) chacun obtenu a partir d'au moins deux polynomes 
initiaux (Pi, Pi+i) , et de mettre en oeuvre les polynomes 

* 

combines (Qk) dans 1' unite de traitement programmable 
(4) . 

2. Procede selon la revendication 1, caracterise 
en ce qu'il comporte en outre l'etape de memoriser les 
polynomes combines (Q k ) sous forme d'un fichier de confi- 
guration charge dans une memoire (3) associee a I 1 unite 

de traitement (4) . 

3. Procede selon la revendication 2, caracterise 
en ce que la memoire (3) et 1 'unite de traitement pro- 
grammable (4) sont associes a un organe d f effacement (5) 
provoquant , dans le cas d ! une intrusion dans le disposi- 
tif, un effacement de l 1 unite de traitement (4), et un 
effacement de la memoire (3) contenant le fichier de con- 
figuration lorsque la configuration est presente dans 

cette memoire . 

4. Procede selon la revendication 1, caracterise 
en ce qu f il comporte l'etape de combiner chaque polynome 
combine (Q k ) avec une fonction (f k ) , et de combiner le po- 
lyndtne combine suivant (Q k+1 )avec une fonction inverse 

(fk*" 1 ) - 

5. Procede selon la revendication 4, caracterise 
en ce que la fonction (f k > combinee a chaque polynome 
combine (Q k ) est une fonction lineaire. 
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